Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Suurch/fraudrop/packed.win32.krap Infected

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 30.08.2010, 00:40   #1
holyraider
 
Suurch/fraudrop/packed.win32.krap Infected - Rotes Gesicht

Suurch/fraudrop/packed.win32.krap Infected



Hi!

Seit ca. einer woche habe ich mit diesen viren probleme.
Ich hab keine ahnung wie ich sie bekommen hab.. ich hab nichts besonderes gemacht und aufeinmal wurden alle möglichen sachen (fake adware scanner etc) ausgeführt.
Ich hab dann alles mit kaspersky und spybot gelöscht.. nach mehreren scans ham die dann beide auch nichts mehr gefunden.
Das war vor einer woche... zwischendurch hatte ich nochmal ein kurzes intermezzo, aber da war ich die viren schnell wieder los(dachte ich zumindest)
und jetzt sind sie wieder da...
ich hab wieder nichts besonderes gemacht..hab musik gehört und eine geraucht, da hat sich aufeinmal das benutzerkonten fenster mehrmals geöffnet und wieder geschlossen.
Ich hab dann sofort kaspersky wieder angeschmissen(habs öfters mal aus wenn ich spiele) und jetzt sucht und zerstört es seit stunden allerlei viren, aber es hört halt einfach nicht auf.
Ich hab bei google ein bisschen gesucht aber zu den viren nichts gefunden was mir geholfen hat
Ich bin jetzt seit 2 monaten mit win7 64bit unterwegs und kenn mich nicht so sehr damit aus.
Ich mache gerade scans mit malware bytes Anti-Malware und schau mir die hijacklogs an.
Wenn die scans fertig sind und alles gefundene gefixt ist, poste ich nen aktuellen HijackThis log und was auch immer ihr braucht.

Wenn ihr irgendwas bestimmtes braucht um mir zu helfen, dann sagt es nur kurz und ich antworte so schnell wie möglich.
Ich danke schonmal im vorraus und hoffe ihr könnt mir helfen!

regards
josh

edit:
ok noch was anderes.. ich kann keine programme mehr starten.. es scheint als hätte ich dazu keine berechtigung mehr... was aber seltsam ist, da ich zb firefox über den taskmanager noch ausführen kann.. nicht jedoch über die verknüpfung oder die .exe an sich. ausserdem ist mir ein prozess aufgefallen der andauernd wieder im taskmanager auftaucht aber nie von avp oder ähnlichem erkannt wird..
skype_names_2.exe oder so ähnlich.

oh und mir fällt grade auf, dass das board auf deutsch is =S
hab das ganze jetzt ins deutsche umgeschrieben.. man is das peinlich =D

Hijackthis log:HiJackthis Logfile:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:46:34, on 30.08.2010
Platform: Unknown Windows (WinNT 6.01.3504 SP3)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal
 
Running processes:
C:\Program Files (x86)\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe
C:\Windows\SysWOW64\CTXFISPI.EXE
C:\Users\aspnet\AppData\Local\Temp\Blizzard Installer Bootstrap - 0010ea1f\Installer.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [VolPanel] "C:\Program Files (x86)\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r
O4 - HKLM\..\Run: [UpdReg] C:\Windows\UpdReg.EXE
O4 - HKLM\..\Run: [AVP] "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe"
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware  (reboot)] "C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~2\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: &Virtual Keyboard - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll
O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: URLs c&heck - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~2\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~2\KASPER~1\KASPER~1\sbhook.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: AMD RAIDXpert (AMDRAIDXpert) - Unknown owner - C:\Program Files (x86)\AMD\RAIDXpert\jetty\extra\win32\Wrapper.exe
O23 - Service: AODService - Unknown owner - C:\Program Files (x86)\AMD\OverDrive\AODAssist.exe
O23 - Service: Kaspersky Anti-Virus Service (AVP) - Kaspersky Lab ZAO - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe
O23 - Service: Creative ALchemy AL6 Licensing Service - Creative Labs - C:\Program Files (x86)\Common Files\Creative Labs Shared\Service\AL6Licensing.exe
O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Program Files (x86)\Common Files\Creative Labs Shared\Service\CTAELicensing.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Program Files\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\LogiShrd\Bluetooth\lbtserv.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: O&O Defrag - O&O Software GmbH - C:\Program Files\OO Software\Defrag\oodag.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
 
--
End of file - 8089 bytes
         
--- --- ---


--- --- ---

sry das ich die logs so blöd geposted hab, hab sie jetzt als rar hochgeladen, kann aber meinen beitrag iwie nichmehr editieren, könnte ein mod/admin den log part löschen?

hier die logfiles:

rsit logs:
hxxp://www.file-upload.net/download-2785552/rsit.rar.html

hijackthis log:
hxxp://www.file-upload.net/download-2785551/hijackthis.rar.html

Alt 30.08.2010, 14:55   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Suurch/fraudrop/packed.win32.krap Infected - Standard

Suurch/fraudrop/packed.win32.krap Infected



Zitat:
Ich hab dann alles mit kaspersky und spybot gelöscht..
Immer die genauen Schädlingsnamen und Pfadangaben notieren und posten!

Aus den Regeln:

5. Beschreibe Dein Problem in einigen Sätzen und arbeite diese Anleitung ab Punkt 2. durch
Auch Funde von deiner Sicherheitssoftware bitte im Thema nennen: (z.B. c:\windows\virus.exe)
Fehlen diese Angaben, kann und wird dir hier niemand helfen.
__________________

__________________

Alt 30.08.2010, 16:56   #3
holyraider
 
Suurch/fraudrop/packed.win32.krap Infected - Standard

Suurch/fraudrop/packed.win32.krap Infected



Tut mir Leid, das hab ich glatt vergessen =S

kaspersky:
1. viren befall vor einer woche:
Trojan.win32.Swizzor.wrg -fülle an .htm datein aus dem temp. inet files/content.IE5 ordner
Trojan-Downloader.Java.OpenStream.al -aus dem java deployment/chache ordner
Trojan-Downloader.Java.Agent.cd -aus dem java deployment/chache ordner

befall von gestern:
Trojan-Dropper.Win32.FrauDrop.azy
Trojan.win32.FakeAV.ckd
Packed.win32.krap.ao
Trojan-PSW.win32.Agent.sig
Trojan-Downloader.win32.Suurch.bwe
HEUR:Trojan.Win32.Generic
Backdoor.win32.VB.Lvn
packed.win32.katusha.n
Trojan-PSW.win32.LdPinch.aova
Trojan.win32.FraudPack.bhhn


Mbam:

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4504

Windows 6.1.7600 Service Pack 3
Internet Explorer 8.0.7600.16385

30.08.2010 01:54:39
mbam-log-2010-08-30 (01-54-39).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 146769
Laufzeit: 4 Minute(n), 23 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 13
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 1
Infizierte Dateien: 10

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\cscrptxt.cscrptxt (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{e0ec6fba-f009-3535-95d6-b6390db27da1} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\cscrptxt.cscrptxt.1.0 (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{84c3c236-f588-4c93-84f4-147b2abbe67b} (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{38061edc-40bb-4618-a8da-e56353347e6d} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{7b6a2552-e65b-4a9e-add4-c45577ffd8fd} (Adware.EZLife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{b1ba40a2-75f2-51bd-f413-04b13a2c8953} (Trojan.Ertfor) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b1ba40a2-75f2-51bd-f413-04b13a2c8953} (Trojan.Ertfor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Sky-Banners (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Street-Ads (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\$NtUninstallMTF1011$ (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Sky-Banners (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Street-Ads (Adware.Adrotator) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hse897ifdsjf98u3heuidhfdd (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\idstrf (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\winid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\nofolderoptions (Hijack.FolderOptions) -> Delete on reboot.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Windows\$NtUninstallMTF1011$ (Adware.Adrotator) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Users\aspnet\AppData\Local\Temp\ctfkde.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Windows\SysWOW64\iquup.dll (Adware.EZlife) -> Quarantined and deleted successfully.
C:\Windows\SysWOW64\zo3kxwx.dll (Trojan.Ertfor) -> Quarantined and deleted successfully.
C:\Windows\System32\iquup.dll (Adware.BHO) -> Quarantined and deleted successfully.
C:\Users\aspnet\AppData\Local\Temp\gdf2aba.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Users\aspnet\AppData\Local\Temp\osemrcwaxn.exe (Adware.BHO) -> Quarantined and deleted successfully.
C:\Windows\$NtUninstallMTF1011$\apUninstall.exe (Adware.Adrotator) -> Quarantined and deleted successfully.
C:\Windows\$NtUninstallMTF1011$\zrpt.xml (Adware.Adrotator) -> Quarantined and deleted successfully.
C:\Users\aspnet\AppData\Local\Temp\skaioejiesfjoee.tmp (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\aspnet\Local Settings\Application Data\Windows Server\admin.txt (Malware.Trace) -> Quarantined and deleted successfully.


Kaspersky der hat beim ersten befall am 14.08 alles aufgeräumt und danach war alles wie voher. zwischen dem 14.08 und dem 30.08 gab es keine einzige viren meldung oder ähnliches und gestern fings ohne vorwarnung aufeinmal wieder an. dann mit den oben genannten viren.
mbam hat beim ersten quicksearch am 30.08 das oben gepastete als log ausgegeben.

Hoffe man kann mir jetzt helfen
mitlerweile stürzt der explorer andauernd ab, startleisten einträge funktionieren nur zur hälfte (msn geht, firefox nicht) und das ich alles wegbekommen habe glaub ich nicht wirklich.

mfg
josh
__________________

Alt 30.08.2010, 16:59   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Suurch/fraudrop/packed.win32.krap Infected - Standard

Suurch/fraudrop/packed.win32.krap Infected



Zitat:
befall von gestern:
Trojan-Dropper.Win32.FrauDrop.azy
Trojan.win32.FakeAV.ckd
Die pfadangaben fehlen aber immer noch, Ich will auch die Dateinamen sehen.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 30.08.2010, 17:01   #5
holyraider
 
Suurch/fraudrop/packed.win32.krap Infected - Standard

Suurch/fraudrop/packed.win32.krap Infected



ok das wird ein wenig dauern.. ich muss kurz zum arzt weil ich krank bin(deswegen auch so schusselig) und danach geh ich alle listen mal durch. Kann man von kaspersky alle funde als log ausgeben lassen wo man die pfade rauskopieren kann?


Alt 30.08.2010, 17:05   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Suurch/fraudrop/packed.win32.krap Infected - Standard

Suurch/fraudrop/packed.win32.krap Infected



Zitat:
Zitat von holyraider Beitrag anzeigen
Kann man von kaspersky alle funde als log ausgeben lassen wo man die pfade rauskopieren kann?
Ja, kann man. RTFM
__________________
--> Suurch/fraudrop/packed.win32.krap Infected

Alt 30.08.2010, 17:42   #7
holyraider
 
Suurch/fraudrop/packed.win32.krap Infected - Standard

Suurch/fraudrop/packed.win32.krap Infected



ich bin froh das ich bei meinen kopfschmerzen überhaupt lesen kannst was du schreibst =S
trojan.brain32.destroyer detected.. =/

also..
im anhang poste ich dann nochmal die gesammten detections vom 14.08 bis zum heutigen tag, welche von kaspersky erkannt und (vermeindlich) gelöscht wurden. spybot hat anscheinend keine logs gespeichert, ausser update bericht gibts keine logs. mbam is oben genauso wie hijackthis.
Momentan erkennt ekaspersky nur noch das hier:
30.08.2010 01:20:08 Kaspersky Internet Security Task started Proactive Defense
30.08.2010 01:20:26 Windows Explorer Detected: PDM.Keylogger C:\WINDOWS\EXPLORER.EXE

und das kommt dann, wenn die explorer.exe abstürzt.. dies passiert ohne unterbrechung in verbindung mit der wow.exe und total random ohne wow.


hier die ksprsky liste:
hxxp://www.file-upload.net/download-2786976/kaspersky-list.txt.html


edit: kaspersky fragt mich die ganze zeit ob ich dateien aus der quarantäne wiederherstellen will, welche angeblich nicht infeziert sind.. die dateien sind/waren zu 90% eindeutig viren..(-> namen wie zb. 9zszdh2223901.exe oder so).
restoren oder in quarantäne lassen?

Geändert von holyraider (30.08.2010 um 18:34 Uhr)

Alt 30.08.2010, 18:51   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Suurch/fraudrop/packed.win32.krap Infected - Standard

Suurch/fraudrop/packed.win32.krap Infected



Zitat:
C:\Users\aspnet\Local Settings\Downloads\crackingcrypting\[OSH]CRYSTAL METHODE\Ultimate Vac Blocker\ultimate_VAC_blocker_BY_Slupka99_V3.dll
Was ist denn das?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 30.08.2010, 18:55   #9
holyraider
 
Suurch/fraudrop/packed.win32.krap Infected - Standard

Suurch/fraudrop/packed.win32.krap Infected



bitte nicht vorverurteilen.. ich bin uploader/mod auf einer bekannten cheat website und da hab prüfe ich jeden tag dateien auf viren und trojaner.
ich lade die dateien runter, prüfe sie in sandboxen, vm, virenscanner, gegebenenfalls bisschen inner IDE und dann lade ich sie auf die website.
Diese dateien führe ich jedoch nie selbst aus, so dumm bin ich dann doch nicht

Alt 30.08.2010, 19:02   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Suurch/fraudrop/packed.win32.krap Infected - Standard

Suurch/fraudrop/packed.win32.krap Infected



Naja, was das genau ist, ist damit aber nicht nicht beantwortet. Hat das was mit Steam zu tun?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 30.08.2010, 19:30   #11
holyraider
 
Suurch/fraudrop/packed.win32.krap Infected - Standard

Suurch/fraudrop/packed.win32.krap Infected



das is teil eines counterstrike source cheats. der vac blocker part ist eine durch einen injector in steam injezierte .dll die vac aushebelt.
Ob dem so ist oder nicht weiss ich nichtmehr.. liegt schon lange auf meiner platte, hab noch nich aufgeräumt.
Die .dll + injector is mitlerweile schon von kaspersky gelöscht worden.

Geändert von holyraider (30.08.2010 um 19:37 Uhr)

Alt 30.08.2010, 19:37   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Suurch/fraudrop/packed.win32.krap Infected - Standard

Suurch/fraudrop/packed.win32.krap Infected



Zitat:
der vac blocker part ist eine durch ein injector in steam injezierte .dll die vac aushebelt.
Das das nicht erlaubt ist weißt Du? Bei kommerzieller Software darfst Du die binaries nicht manipulieren! Abgesehen davon hasse ich cheater, spiel hin und wieder AssaultCube und die Cheater nerven einfach nur mit ihren peinlichen Aktionen

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Klick auf .
  • Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 30.08.2010, 19:59   #13
holyraider
 
Suurch/fraudrop/packed.win32.krap Infected - Standard

Suurch/fraudrop/packed.win32.krap Infected



Ich reg mich selbst des öfteren über cheater auf ;D
das ich das mache hat mehr was damit zu tun, dass ich das letzte aktive staff mitglied bin und die site ohne mich ganz austerben würde.. verantwortung und so..ich hab keine ahnung (:

und was die legalität angeht.. ich selbst verändere nichts an den binaries und benutzen tu ich auch keine cheats, ausserdem sind alle programme natürlich nur für educational purposes erstellt worden =D

konnte den inhalt der logfiles nicht direkt im thread posten, weils zuviel war denke ich. habs wieder bei file-upload hochgeladen.

hier die ot resultate..

OTL:
hxxp://www.file-upload.net/download-2787432/otl.txt.txt.html

extras:
hxxp://www.file-upload.net/download-2787437/extras.txt.txt.html

Alt 30.08.2010, 20:32   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Suurch/fraudrop/packed.win32.krap Infected - Standard

Suurch/fraudrop/packed.win32.krap Infected



Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 30.08.2010, 23:41   #15
holyraider
 
Suurch/fraudrop/packed.win32.krap Infected - Standard

Suurch/fraudrop/packed.win32.krap Infected



Super Antispyware:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 08/31/2010 at 00:25 AM

Application Version : 4.42.1000

Core Rules Database Version : 5428
Trace Rules Database Version: 3240

Scan type : Complete Scan
Total Scan Time : 00:50:34

Memory items scanned : 732
Memory threats detected : 0
Registry items scanned : 14789
Registry threats detected : 0
File items scanned : 33051
File threats detected : 3

Adware.Tracking Cookie
C:\Users\aspnet\AppData\Roaming
\Microsoft\Windows\Cookies\aspnet@atdmt[2].txt

Rogue.AntiMalwareDoctor
C:\Users\aspnet\AppData\Roaming\D0D1454467250BB5C55455E03B7D5C04

Trojan.Smitfraud Variant-Gen/Bensorty
C:\WINDOWS\SYSWOW64\FHRKT.DLL


--------------------------------------------------------------------------

Malwarebytes:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4510

Windows 6.1.7600 Service Pack 3
Internet Explorer 8.0.7600.16385

31.08.2010 00:40:48
mbam-log-2010-08-31 (00-40-48).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Durchsuchte Objekte: 405341
Laufzeit: 1 Stunde(n), 3 Minute(n), 45 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Antwort

Themen zu Suurch/fraudrop/packed.win32.krap Infected
anti-malware, avp.exe, better, could, google, hijack, hijack log, infected, internet security 2011, kaspersky, keine programme, loading, local\temp, log, malware bytes, massive, music, panel, problem, scanning, scans, seit 2 monaten, spybot, started, system, syswow64, this, troja, viruses, win7 64bit, windows, windows 7, works



Ähnliche Themen: Suurch/fraudrop/packed.win32.krap Infected


  1. win32/packed.vmprotect.aaa
    Plagegeister aller Art und deren Bekämpfung - 29.09.2014 (1)
  2. Kaspersky 2.0 findet packed.win32.krap.hc
    Log-Analyse und Auswertung - 22.05.2014 (19)
  3. Virenmeldung TrojWare.Win32.Krap.T@-1
    Plagegeister aller Art und deren Bekämpfung - 17.12.2010 (1)
  4. Mehrere Viren u.a. Trojan-Dropper.Win32.FrauDrop.bdq, Trojan.Win32.Generic
    Log-Analyse und Auswertung - 13.09.2010 (5)
  5. Packed.Win32.Black.a
    Plagegeister aller Art und deren Bekämpfung - 17.03.2010 (11)
  6. Packed.Win32.Krap.as befall ?
    Log-Analyse und Auswertung - 22.02.2010 (12)
  7. Kaspersky dauernder Alarm Packed.Win32.Krap.ag
    Plagegeister aller Art und deren Bekämpfung - 04.02.2010 (15)
  8. Packed.Win32.Krap.ag - bin ich den los? - anbei 3 Log`s
    Log-Analyse und Auswertung - 24.11.2009 (6)
  9. Packed.Win32.TDSS.z
    Plagegeister aller Art und deren Bekämpfung - 16.11.2009 (8)
  10. Packed.Win32.Krap.ae Wie entferne ich den?
    Plagegeister aller Art und deren Bekämpfung - 20.10.2009 (1)
  11. Packed.Win32.TDSS.y Trojaner Win32/Alureon.BF
    Plagegeister aller Art und deren Bekämpfung - 08.10.2009 (3)
  12. TR/DROPPER.GEN, TR/RUNNER.QC.2, TR/PCK.KRAP.29 und WIN32.DELF.UV
    Log-Analyse und Auswertung - 02.10.2009 (1)
  13. Packed.Win32.Tdss.m ; Win32.WhenU.a
    Plagegeister aller Art und deren Bekämpfung - 29.06.2009 (2)
  14. Backdoor.Win32.Agent.tpi und Packed.Win32.Black.a
    Plagegeister aller Art und deren Bekämpfung - 07.12.2008 (4)
  15. Win32/Themida bzw Trojan.packed.650
    Plagegeister aller Art und deren Bekämpfung - 03.11.2008 (10)
  16. packed.Win32.NSAnti.r
    Plagegeister aller Art und deren Bekämpfung - 22.10.2007 (6)
  17. Trojaner -Packed.Win32.Klone.g
    Log-Analyse und Auswertung - 17.07.2006 (2)

Zum Thema Suurch/fraudrop/packed.win32.krap Infected - Hi! Seit ca. einer woche habe ich mit diesen viren probleme. Ich hab keine ahnung wie ich sie bekommen hab.. ich hab nichts besonderes gemacht und aufeinmal wurden alle möglichen - Suurch/fraudrop/packed.win32.krap Infected...
Archiv
Du betrachtest: Suurch/fraudrop/packed.win32.krap Infected auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.